

Ces procédés connaissent un succès croissant dans les entreprises, par le biais notamment de dispositifs de contrôle d’accès, de vérification de présence, ou encore de gestion des horaires. Mais ces systèmes sont strictement encadrés : l’employeur ne peut y avoir recours selon son bon vouloir. S’il entend mettre en place un dispositif biométrique, il devra impérativement consulter les institutions représentatives du personnel (le Comité d’entreprise au titre de l’article L.432-2-1 et le CHSCT au titre de l’article L.236-2, alinéa 1er) et obtenir l’accord de la Commission Nationale de l’informatique et des libertés (CNIL).
Face à un nombre de demandes en pleine augmentation, et aux risques particuliers qu’elles impliquent, la CNIL vient de publier un guide (Communication en date du 28 décembre 2007, disponible sur son site internet) visant à préciser les principaux critères sur lesquels elle se fonde pour accepter ou refuser une catégorie particulière de procédés biométriques : les empreintes digitales. Mais ces critères ne sont valables que lorsque ces empreintes sont stockées sur un terminal de lecture-comparaison ou sur un serveur. Pour les dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail, la CNIL a adopté, le 27 avril 2006, une délibération portant autorisation unique de mise en œuvre (Délibération n°2006-102).
Aux termes du communiqué du 28 décembre 2007, la CNIL précise qu’elle ne donnera son accord, pour cette catégorie de dispositifs, que si 4 critères sont réunis:




Le rôle des institutions représentatives du personnel est extrêmement important. Devant être consultées avant toute mise en place, il leur appartient aussi de veiller à ce que l’employeur respecte les préconisations de la CNIL, quitte à saisir au besoin cette commission ou le Tribunal de grande instance pour obtenir la mise en conformité du dispositif ou son retrait. Le TGI de Paris dans un jugement du 19 avril 2005 a invalidé un dispositif de contrôle par empreintes digitales estimant que la mesure était attentatoire aux libertés individuelles et non justifiée par un quelconque impératif de sécurité. En l’espèce, le procédé n’avait pour seul objet que de mesurer le temps de présence effectif dans l’entreprise (TGI Paris, 1er ch. sect. soc., 19 avril 2005, n°05/00382). Rappelons également que les délégués du personnel ont la possibilité d’utiliser leur droit d’alerte en cas d’atteintes aux droits des personnes et aux libertés individuelles (article L.422-1-1 du Code du travail).
A noter qu’en l’absence de déclaration à la CNIL, un employeur ne peut sanctionner un salarié qui refuserait de se plier à la pratique des empreintes digitales et ce même si le règlement intérieur de l’entreprise fait obligation au personnel d’utiliser un tel système (Cass. soc., 6 avril 2004, n°01-45.227). En outre, il s’expose à des sanctions pénales (article 226-16 du Code pénal).
De manière générale et à titre de conclusion, il ressort clairement que la CNIL n’admet qu’exceptionnellement le recours aux empreintes digitales stockées sur un serveur.

Commenter cet article